Piratage Discord : des pièces d'identité et des numéros de cartes bancaires dérobés
Discord a à son tour été victime d'un piratage par le biais d'un de ses prestataires. L'accident a abouti à la fuite de données personnelles très sensibles, dont des numéros de cartes bancaires et des copies de pièces d'identité.
Ces derniers temps, les cyberattaques contre les grandes entreprises, les opérateurs téléphoniques et les institutions se multiplient, avec toujours plus de données personnelles qui fuitent sur le Dark Web. Cette fois, c'est au tour de Discord, la plateforme de discussion en ligne préférée des gamers, d'être victime d'une fuite de données. Dans un communiqué, elle explique qu'un de ses fournisseurs de services à la clientèle a subi une cyberattaque le 20 septembre 2025. L'attaquant a notamment pu s'emparer "des informations d'un nombre limité d'utilisateurs qui avaient contacté Discord par l'intermédiaire des équipes d'assistance à la clientèle". Il s'agit cependant de données sensibles, comme des numéros de carte de crédit ou des pièces d'identité.
Piratage Discord : un nombre d'utilisateurs concernés limité
Les cybercriminels n'ont pas pu obtenir un accès direct à la machinerie interne de Discord, mais ils ont tout de même pu exfiltrer des données d'utilisateurs ayant sollicité le support technique ou l'équipe de sécurité de l'entreprise. Les informations dérobées comportent les noms d'utilisateurs, leurs pseudonymes, leurs adresses IP, leurs adresses mail, les messages échangés avec le support, leurs historiques d'achat et les quatre derniers chiffres des numéros de carte de crédit. Dans certains cas, le hacker est également parvenu à s'emparer de documents d'identité, comme des cartes d'identité, des permis de conduire ou des passeport, qui avaient été communiqués par des utilisateurs pour attester de leur âge. En revanche, les numéros de carte de crédit complets, les mots de passe et les échanges au sein de Discord n'ont pas été compromis.
L'entreprise explique avoir immédiatement révoqué les accès du prestataire à son système dès la découverte de l'intrusion, puis avoir lancé une enquête interne avec le soutien d'un cabinet de cybersécurité et signalé les faits aux autorités compétentes. Elle a également commencé à notifier individuellement les utilisateurs concernés. Elle précise que les auteurs de l'attaque ont essayé de lui extorquer de l'argent pour éviter que les données ne se retrouvent exposées sur Internet.
Cette fuite de données pourrait déboucher sur des attaques de phishing ou des usurpations d'identité. C'est pourquoi Discord recommande "aux utilisateurs concernés de rester vigilants lorsqu'ils reçoivent des messages ou d'autres communications qui peuvent sembler suspectes". L'entreprise précise qu'elle ne contactera jamais ses usagers par téléphone ou SMS, mais seulement par l'adresse mail noreply@discord.com. De même, le support est disponible 24 heures sur 24 pour ceux qui le souhaitent.